Violation de données du laboratoire médical Gemotest

Une base de données de la chaîne russe d'analyses médicales Gemotest a été proposée sur un forum de piratage, les vendeurs revendiquant des données sur 31 millions de clients — noms, numéros de passeport et d'assurance, dates de naissance, adresses, numéros de téléphone et adresses e-mail. Have I Been Pwned a ensuite indexé environ 6,3 millions d'adresses e-mail uniques issues de la fuite.

Au printemps 2022, une base de données appartenant à Gemotest, l'un des plus grands réseaux russes de laboratoires d'analyses médicales privés, a été mise en vente sur un forum de piratage. Les vendeurs affirmaient qu'elle contenait des dossiers sur environ 31 millions de clients, ce qui en fait l'une des expositions de données de santé les plus graves du pays.

Ce qui s'est passé

Gemotest exploite des centaines de points de prélèvement à travers la Russie et les États voisins, réalisant de grands volumes d'analyses sanguines diagnostiques et d'autres travaux de laboratoire. Une copie de sa base de données clients a été exfiltrée vers avril 2022 et, le 4 mai 2022, mise en vente sur un forum darknet/de piratage.

Le jeu de données divulgué comprenait un mélange particulièrement sensible de champs d'identité et de contact :

Noms complets et dates de naissance
Numéros de passeport et numéros d'assurance (police)
Adresses du domicile, numéros de téléphone et adresses e-mail

Lorsque la violation a ensuite été indexée par le service de notification de fuites Have I Been Pwned, celui-ci a identifié environ 6,3 millions d'adresses e-mail uniques dans les données — la borne inférieure vérifiable face au chiffre de 31 millions de clients revendiqué par les vendeurs, qui inclut aussi des enregistrements sans adresse e-mail.

Impact

Exposition revendiquée d'environ 31 millions de clients d'un prestataire de santé.
La combinaison de numéros de passeport, de numéros d'assurance et d'adresses du domicile constitue exactement la panoplie nécessaire au vol d'identité et à la fraude aux prestations, et le contexte médical ajoute le risque d'hameçonnage ciblé et d'extorsion.
Les données ont circulé discrètement avant d'être exploitées dans des campagnes d'arnaque et d'hameçonnage visant des victimes russophones.

Contexte

La fuite Gemotest s'inscrivait dans une vague de grandes violations touchant des entreprises russes d'internet et de services en 2022, aux côtés de Yandex.Eda, du service de messagerie SDEK et d'autres. Plusieurs sont survenues sur fond de guerre en Ukraine, qui a accru l'attention des hacktivistes et des acteurs criminels envers les cibles russes, et a révélé la légèreté des sanctions infligées à de nombreuses entreprises russes pour une protection des données déficiente.

Pourquoi c'est important

Les données de santé et d'identité figurent parmi les plus dommageables à perdre car, contrairement à un mot de passe, un numéro de passeport ou une date de naissance ne peut être réinitialisé. La violation Gemotest a souligné l'exposition systémique des données personnelles russes en 2022 et est devenue l'un des jeux de données les plus fréquemment cités pour plaider en faveur de sanctions plus strictes, proportionnées au chiffre d'affaires, pour les fuites de données dans le droit russe — une réforme qui a pris de l'ampleur précisément à cause de cas comme celui-ci.

Chronologie

1 avril 2022

Une base de données attribuée à Gemotest est exfiltrée et commence à circuler parmi les acteurs malveillants.

4 mai 2022

Des vendeurs mettent en vente la base de données Gemotest sur un forum darknet/de piratage, revendiquant des données sur environ 31 millions de clients.

1 mai 2022

Les médias russes rapportent la fuite ; le jeu de données est décrit comme incluant des numéros de passeport et d'assurance ainsi que des coordonnées.

1 janvier 2022

Have I Been Pwned indexe la violation, identifiant environ 6,3 millions d'adresses e-mail uniques parmi les enregistrements.

Sources

haveibeenpwned.comhttps://haveibeenpwned.com/breach/Gemotest

blogh1.comhttps://blogh1.com/en/2022/05/04/a-database-with-data-of-31-million-clients-of-the-gemotest-medical-laboratory-was-put-up-for-sale-on-the-darknet/

heroic.comhttps://heroic.com/darkhive-breaches/gemotest-ru-breach-6-million-patient-records-dark-web/

Incidents liés

Fuite de donnéesRésolu17 novembre 2022

Fuite de données Washington State Food Worker Card (2022)

En juin 2023, le département de la santé du comté de Tacoma-Pierce a annoncé une fuite de données de son système de formation en ligne Washington State Food Worker Card. La fuite avait été publiée sur un forum de piratage populaire l'année précédente et remontait à une sauvegarde de base de données de 2018.

Victim: Washington State Food Worker Card
Records: 1.6M

Fuite de donnéesRésolu19 septembre 2022

Fuite de données Online Trade (Онлайн Трейд) (2022)

En septembre 2022, le site de commerce en ligne russe Online Trade (Онлайн Трейд) a subi une fuite de données qui a exposé 3,8 millions d'enregistrements de clients. Les données comprenaient des adresses e-mail et IP, des noms, des numéros de téléphone, des dates de naissance et des hachages de mots de passe MD5.

Victim: Online Trade (Онлайн Трейд)
Records: 3.8M

Fuite de donnéesRésolu9 mars 2022

Fuite de données CDEK (2022)

Début 2022, un collectif connu sous le nom d'IT Army, dont l'objectif déclaré est de "désanonymiser complètement la plupart des utilisateurs russes en divulguant des centaines de gigaoctets de bases de données", a publié plus de 30 Go de données prétendument issues du service de messagerie russe CDEK.

Victim: CDEK
Records: 19.2M

Fuite de donnéesContenu11 juin 2026

Novo Nordisk révèle une fuite de données de patients d'essais cliniques après un incident de sécurité informatique

Le géant pharmaceutique danois Novo Nordisk a révélé que des attaquants avaient copié hors de ses systèmes informatiques internes des informations pseudonymisées de patients issues de certains de ses essais cliniques, l'amenant à mettre certains systèmes hors ligne le temps de son enquête.

Victim: Novo Nordisk